微软SUS, WSUS, SMS 比较分析

SUS, WSUS, SMS分别是软件更新服务、微软Windows服务器更新服务、系统管理服务器。微软明年将为软件更新服务(SUS)提供即时支持，这样的话，使用补丁管理工具的组织须要作出一个抉择。他们是采用Windows服务器更新服务——微软针对软件更新服务的下一代替换品——或者微软系统管理服务器，或者采用第三方解决方案呢?让咱们先来看看软件更新服务、微软Windows服务器更新服务、系统管理服务器之间的区别，当公司可能但愿在非微软的补丁和更新工具方面投资的话。

　　 经过缩写分类

　　微软Windows服务器更新服务(WSUS)是在2005年7月发布的，而且免费。WSUS是对被取代事物的更新——软件更新服务(SUS)，它也是微软为服务信息块(SMB)市场推荐的补丁和更新工具。WSUS运行在Windows Server2000和2003环境下，而且它对Windows2000(使用SP3)和XP主机下的微软更新代理产生影响使其支持补丁传送和安装。虽然这个工具功能强大，可是它可能并不支持大公司所要求的某些特性，如复杂灵活的行程安排和库存管理。

　　若是你的组织愿意支付一些费用，微软将会给你系统管理服务器(SMS)2003版。与微软Windows服务器更新服务(WSUS)相比，系统管理服务器(SMS)可以提供更加高级的管理员管理特性。特别地，系统管理服务器(SMS)包含对安装和重启的控制、一张各个组成部分的清单以确保一致性、以及一个可定制的界面。

　　虽然系统管理服务器(SMS)提供相对牢固的补丁和更新支持，可是仍然仍是有一些缺陷。系统管理服务器(SMS)没法支持非Windows系统。当企业使用的是混合系统，如*NIX and MacOS 时，咱们仍然须要寻找一种方法来实如今这些系统上的补丁和更新管理。许多大公司投资时间和精力来配置脆弱性管理部件，这些部件是经过网络或者桌面操做组被管理和监视的。举例说明，一个公司使用IBM公司的Tivoli工具来汇集而且存储他们的资产清单信息，或者使用CA公司的Unicenter工具来执行全部的软件更新和包传递，然而这家公司可能并不但愿经过系统管理服务器(SMS)在执行这些功能时改变了原来的操做程序。事实上，也许背后存在着某些强迫的缘由使他们不得不把这些功能保留。

　　 是第三方有魅力吗?

　　彻底脆弱性管理解决方案不单单是由发送补丁到Windows设备组成的。综合脆弱性管理包括保存当前网络上全部系统和应用程序的清单、经过使用扫描和消息机制来决定当前的脆弱性和暴露点，以及在系统上维护正确的补丁和配置等级。健壮的管理和发送报告对于大多数企业而言一样也是很是重要的。在对任何解决方案作出决定以前，请先明确的记录这一解决方案须要知足的业务需求，如哪些系统必须被覆盖、以及发送报告的能力须要达到何种粒度。

　　有许多公司关注Windows下安装非微软应用程序所致使的脆弱性，对于这些公司而言经过报警提示和咨询记录的方式实在是极度的耗费时间。第三方脆弱性管理经销商持有当前关于多种系统和应用程序脆弱性的列表，而且他们能够为用户发送报警提示和更新。

　　许多第三方脆弱性管理经销商也提供对脆弱性的粗粒度优先化、以及改变资产分类等级的能力，这个分类等级是根据对企业重要程度而获得的。经过把重要资产进行分类以及对脆弱性严重程度的排序，公司能够把他们的补救工做区分优先次序。对于大的企业来讲，一次性安装上全部的补丁和更新也许是没法完成的，可是彻底有能力首先针对最为严重和脆弱的系统，这就表明着避开蠕虫病毒和关闭生产服务器之间的差别。

　　 还有一个选择

　　咱们须要说起的是微软还提供一个工具——微软基线安全分析器(Microsoft Baseline Security Analyzer)。微软基线安全分析器(MBSA)是为服务信息模块(SMB)市场而设计的，它可以扫描Windows系统当前的补丁和更新等级而且配置相应的状态。它还能够与第三方经销商提供的安全解决方案兼容使用，如IBM公司的Tivoli 和PatchLink工具。

　　微软为实现补丁和更新管理提供大量的工具，可是补丁并非脆弱性管理的惟一方式。对于一些企业而言，系统管理服务器(SMS)2003版是适合业务的需求的，可是对于另一些，最适合的工具也许是第三方经销商所提供更加健壮和丰富特性的脆弱性管理工具。